Re: Как правильно устанавливать RuToken в Linux?

Здравствуйте, Либерти.

Если у Вас одновременно установлены openсt и pcsc-lite, то они могут иногда блокировать друг друга.
По своей сути, это почти "драйверы". Программы OpenSC могут работать и через одно и через другое, но не одновременно.

Программа rutoken-tool устарела и работает только с Рутокенами S, а у Вас, как я вижу Рутокен ЭЦП. Он там и не должен обнаруживаться.

Но в Вашем случае завести Рутокен ЭЦП в Fedora 11 будет не совсем тривиально, так как версии пакетов уж очень старые.

Для Вашего Рутокена ЭЦП строчка в 10-usb-openct.fdi должна быть такой:

  <match key="usb.product_id" int="0x0030">

Измените значение и повторите пункты 2-3-4.

Установлен ли у Вас пакет pcscd?

Попробуйте в файле opensc.conf изменить значение debug = 6 и запустить $ opensc-tool -l

Re: Как правильно устанавливать RuToken в Linux?

Здравствуйте, Dmitry.

Подключить Рутокены к таким системам как luks (или truecrypt) возможно только тогда, когда эти системы предусматривают хранение закрытой ключевой информации на специальных защищенных токенах (не флешках).
Такие токены не могут быть видны как флешки. Для работы с такими устройствами есть специальные интерфейсы, которые сильно отличаются от интерфейсов к файловым системам.

Я не знаю про luks, но truecrypt например позволяет хранить на токенах ключевой файл через интерфейс pkcs#11.
Видимо, копать нужно где-то здесь.
OpenSC как раз такой интерфейс предоставляет.

Для инициализации Рутокена утилитой pkcs15-init используйте вот это руководство: http://www.opensc-project.org/opensc/wiki/AktivRutokenS
Если попросить что то вводить - вводите "12345678".

(2011-09-12 13:09:26 отредактировано Либерти)

Re: Как правильно устанавливать RuToken в Linux?

Здравствуйте, Кирилл!
Спасибо большое, за помощь! Все заработало!

Я, к сожалению, не очень силен в Linux, но команда:

rpm -qva|grep pcscd

такого пакета не нашла.

Но сервисная команда такая есть (тоже перезапускал после hal и openct):

service pcscd restart

Re: Как правильно устанавливать RuToken в Linux?

Либерти пишет:

Здравствуйте, Кирилл!
Спасибо большое, за помощь! Все заработало!

Я, к сожалению, не очень силен в Linux, но команда:

rpm -qva|grep pcscd

такого пакета не нашла.

Но сервисная команда такая есть (тоже перезапускал после hal и openct):

service pcscd restart

ну пакеты могут по разному называться.. но все-таки судя по всему pcscd у Вас есть.

Если заработало, то это прекрасно.
Если еще будут проблемы - обращайтесь.

(2011-10-30 22:57:16 отредактировано Dmitry)

Re: Как правильно устанавливать RuToken в Linux?

Кирилл Мещеряков пишет:

Здравствуйте, Dmitry.

Я не знаю про luks, но truecrypt например позволяет хранить на токенах ключевой файл через интерфейс pkcs#11.
.

да. опыт руководства воспроизводим. во всяком случае, опробован мною под Gentoo.

Reading data object <0>
applicationName: key1
Label:           key1
applicationOID:  NONE
Path:            3f0050150501
Auth ID:         02

Научиться бы еще в текстовом режиме все это делать, а не через gui, как там показано. Ибо иксов на машине, где это нужно, и близко не будет. да и не нужно.
ничего толкового по теме. лишь политика про то, что trucrypt больше не opensource и прочая мура желтой прессы.
На оффсайте есть руководство по комстроке, но руководство, как справочник. То есть, какие ключи при наборе команды с какими еще можно использовать и как правильно - не ясно. На ощупь, что не гуд.
как пример:
truecrypt --create-keyfile --encryption=SHA-512
Error: Unknown option: SHA-512
хотя все эти ключи в справке есть. хотя, здесь опция hash нужна, естественно. ну.. все же, как пример комбинаций, когда возникает путаница.
truecrypt --create-keyfile --hash=SHA-512
truecrypt --import-token-keyfiles --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt --list-token-keyfiles --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt -c volume.cnt --encryption=AES --hash=SHA-512 --keyfiles=token://slot/0/file/ss.key --token-lib=/usr/lib/opensc-pkcs11.so -p ""
truecrypt volume.cnt 1/ --keyfiles=token://slot/0/file/ss.key --token-lib=/usr/lib/opensc-pkcs11.so -p "" --protect-hidden=no
truecrypt -d volume.cnt
работает.
но правильно ли так.
к примеру, таким образом, если сделать импорт, то и экспорт ключа - не вопрос. он извлекаем. проверено.
truecrypt --export-token-keyfile --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt mega.cnt 1/ --keyfiles=rr.key -p "" --protect-hidden=no
точка монтируется.
а нужно, что бы ключ был не извлекаем.

Разобраться, как добавлять ключи с другого рутокена на случай, если одно из устройств сгорит, или же иным образом уйдет из мира сего.
То есть - зашифровали вы раздел, а через некоторое время потеряли рутокен. что бы был резерв. процедура резервирования ключей. какова она.


Ни, и потом. Мы имеем дело с контейнерами, которые при неправильном демонтаже (выключили свет, или какой иной отказ) могут развалиться. То есть, можно ли одним и тем же ключом зашифровать несколько разделов. Идея - делать периодический бэкап (через тот же rsync) одного раздела (каталога в нем) на другой так же зашифрованный.

"f the smartcard is damaged or lost, you will loose your key file.
At that point, you should backup your keyfile on a CD or DVD and keep it in a safe place.

After backup, you may consider erasing your keyfile from disc, as you no longer need it.
But you should always keep a backup."
видимо, все же ключи можно хранить.

2.6.39-gentoo-r3 #1 SMP i686 Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz GenuineIntel GNU/Linux

(2012-02-06 15:35:35 отредактировано gyrt)

Re: Как правильно устанавливать RuToken в Linux?

Добрый день. Купили вот ruToken на 64кб.  Система debian squeeze. Версии библиотек:

root@gyrt-notebook:~# dpkg -l | grep openct
ii  libopenct1                           0.6.20-1.1                                 middleware framework for smart card terminals (libraries)
ii  openct                               0.6.20-1.1                                 middleware framework for smart card terminals
root@gyrt-notebook:~# dpkg -l | grep opensc
ii  libopensc2                           0.11.13-1.1                                Smart card library with support for PKCS#15 compatible smart cards
ii  opensc                               0.11.13-1.1                                Smart card utilities with support for PKCS#15 compatible cards

Версии вроде бы верные и OpenCT видит токен

root@gyrt-notebook:~# openct-tool list
  0 Rutoken S driver
root@gyrt-notebook:~# openct-tool -r 0 atr
Detected Rutoken S driver
Card present, status changed
ATR: 3b 6f 00 ff 00 56 72 75 54 6f 6b 6e 73 30 20 00 00 90 00

Продолжаем дальше по статье с OpenSC Wiki и тут затык

root@gyrt-notebook:~# pkcs15-init --erase-card
Using reader with a card: Rutoken S driver
root@gyrt-notebook:~# pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
Using reader with a card: Rutoken S driver
Unspecified PIN [reference 2] required.
Please enter Unspecified PIN [reference 2]:
[pkcs15-init] card-rutoken.c:227:rutoken_check_sw: Authentication failed
[pkcs15-init] card-rutoken.c:686:rutoken_verify: returning with: PIN code or key incorrect
[pkcs15-init] sec.c:201:sc_pin_cmd: returning with: PIN code or key incorrect
[pkcs15-init] pkcs15-lib.c:3161:do_get_and_verify_secret: Failed to verify PIN (ref=0x2)
Failed to create PKCS #15 meta structure: PIN code or key incorrect

При запросе Unspecified PIN ввожу 87654321, но не подходит.

Не могли бы вы подсказать в чем ошибка?

Re: Как правильно устанавливать RuToken в Linux?

Там нужно вводить 12345678, если мне память не изменяет.

Re: Как правильно устанавливать RuToken в Linux?

О черт... Спасибо, взлетело.

Re: Как правильно устанавливать RuToken в Linux?

Приветсвую еще раз. Хотелось бы узнать вот что. Можно ли как то в WIndows достать в ruToken объекты, которые были залиты туда под Linux через opensc. Вопрос немного не по теме конечно, но все-таки.

Re: Как правильно устанавливать RuToken в Linux?

opensc есть и под windows. Соответственно с помощью opensc и можно.

Re: Как правильно устанавливать RuToken в Linux?

opensc есть и под windows. Соответственно с помощью opensc и можно.

К сожалению получаю ошибку. Попробую расписать, как будет время.

(2012-02-07 23:21:45 отредактировано gyrt)

Re: Как правильно устанавливать RuToken в Linux?

Ну собственно вот. Ставлю opensc (проверяю opensc-tool.exe -l  -- токен не виден) , ставлю драйвер на rutoken на Windows и снова проверяю ( opensc-tool.exe -l  -- токен виден ), но при попытке подключиться через pkcs15-tool.exe имею тоже самое, что и тут. Правильно ли я понимаю, что это никак не обойти? (Пробовал на Win XP SP3 (x86-32) и Win 7 SP1 Prof(x86-64)). OpenSC скачивал последнюю с сайта OpenSC. Пробовал еще Smart Card Bungle оттуда же. Результат аналогичен.

Re: Как правильно устанавливать RuToken в Linux?

Эмм, я так понимаю у тех поддержки нету ответа на счет работы рутокена в гетерогенная средах нет?

Re: Как правильно устанавливать RuToken в Linux?

Пока все источники ктороые нашел противоречат друг другу. Думаю представителям rutoken пора собрать всю актуальную информацию в одно место, чтобы уменьшить себе головную боль в плане поддержки и заодно облегчить пользование устройством...

Вот что удалось найти:
https://www.rutoken.ru/download/manual/ … inuxOS.pdf
http://www.opensc-project.org/opensc/wiki/AktivRutokenS
http://www.opensc-project.org/opensc/wi … RutokenECP
http://www.opensc-project.org/opensc/wiki/QuickStart
http://www.opensc-project.org/opensc/wi … nalization
https://forum.rutoken.ru/post/3986/#p3986

В pdf есть инструкция по разблокировке pin кода пользователя через opensc-explorer, а на wiki страничке opensc ничего подобного не упоминается...

Например на форуме написано что либо openct, либо pcscd, а вместе могут конфликторвать. А у меня устройство начинает обнаруживаться только если стоят оба приложения... хотя инициализацию произвести не получается...

Как я понял по сообщениями форума есть аж три версии устройства с вероятными отличиями в управлении, но ни на одном из источников нет информации по этой разнице (какие действия выполнять/не выполнять в зависимости от маркировки на корпусе; 140Z, 200Z).

(2012-02-09 11:19:01 отредактировано gyrt)

Re: Как правильно устанавливать RuToken в Linux?

А какая у вас маркировка. Если 200Z - могу выложить HowTO (правда работает только для Linux). На счет маркировки - для opensc под *nix подойдет 140Z, 150Z, 200Z железно, а других ключиков мне пока в руки не попадало.  А под вендой... там я не осилил пока.